Utiliser des stratégies de restriction logicielle et des stratégies AppLocker
Cette rubrique destinée aux professionnels de l’informatique décrit comment utiliser les stratégies de restriction logicielle et AppLocker dans le même déploiement de Windows.
Comprendre la différence entre les stratégies de restriction logicielle et AppLocker
Vous pouvez souhaiter déployer des stratégies de contrôle des applications dans des systèmes d’exploitation Windows antérieurs à Windows Server 2008 R2 ou Windows 7. Vous pouvez utiliser les stratégies AppLocker uniquement sur les éditions et versions de Windows prises en charge répertoriées dans la section Configuration requise pour utiliser AppLocker. Toutefois, vous pouvez utiliser les stratégies de restriction logicielle sur ces éditions de Windows prises en charge, ainsi que sur Windows Server 2003 et Windows XP. Pour comparer les fonctionnalités et fonctions des stratégies de restriction logicielle et AppLocker afin que vous puissiez déterminer quand utiliser chaque technologie pour répondre à vos objectifs de contrôle des applications, consultez la rubrique Déterminer les objectifs de contrôle des applications.
Utiliser une stratégie de restriction logicielle et AppLocker dans le même domaine
Les stratégies de restriction logicielle et AppLocker utilisent une stratégie de groupe pour la gestion des domaines. Toutefois, lorsque des stratégies de restriction logicielle et AppLocker existent dans le même domaine et qu’elles sont appliquées via la stratégie de groupe, les stratégies AppLocker sont prioritaires sur les stratégies de restriction logicielle sur les ordinateurs qui exécutent un système d’exploitation prenant en charge AppLocker. Pour savoir comment l’héritage au sein de la stratégie de groupe s’applique aux stratégies AppLocker et aux stratégies de restriction logicielle, consultez la rubrique Comprendre les règles AppLocker et l’héritage des paramètres de mise en application dans la stratégie de groupe.
Important
Nous recommandons d’utiliser des objets de stratégie de groupe distincts pour implémenter vos stratégies de restriction logicielle et AppLocker. Pour réduire les difficultés liées à la résolution des problèmes, ne les associez pas dans le même objet de stratégie de groupe.
Le scénario suivant illustre la façon dont chaque type de stratégie peut affecter l’application « Logiciel Teller » de la banque, où l’application est déployée sur différents systèmes d’exploitation d’ordinateur Windows et gérée par l’objet de stratégie de groupe Tellers.
| Système d’exploitation | Objet de stratégie de groupe Tellers avec stratégie AppLocker | Objet de stratégie de groupe Tellers avec stratégie de restriction logicielle | Objet de stratégie de groupe Tellers avec stratégie AppLocker et stratégie de restriction logicielle |
|---|---|---|---|
Windows 10, Windows 8.1, Windows 8 et Windows 7 |
Les stratégies AppLocker de l’objet de stratégie de groupe sont appliquées et remplacent n’importe quelle stratégie AppLocker locale. |
Les stratégies AppLocker locales remplacent les stratégies générées par SRP appliquées via l’objet de stratégie de groupe. |
Les stratégies AppLocker de l’objet de stratégie de groupe sont appliquées et remplacent les stratégies générées par SRP dans l’objet de stratégie de groupe et toutes les stratégies AppLocker locales ou les stratégies générées par SRP. |
Windows Vista |
Les stratégies AppLocker ne sont pas appliquées. |
Les stratégies générées par SRP de l’objet de stratégie de groupe sont appliquées et remplacent les stratégies locales générées par des stratégies de restriction logicielle. Les stratégies AppLocker ne sont pas appliquées. |
Les stratégies générées par SRP de l’objet de stratégie de groupe sont appliquées et remplacent les stratégies locales générées par SRP. Stratégies AppLocker non appliquées. |
Windows XP |
Les stratégies AppLocker ne sont pas appliquées. |
Les stratégies générées par SRP de l’objet de stratégie de groupe sont appliquées et remplacent les stratégies locales générées par SRP. Les stratégies AppLocker ne sont pas appliquées. |
Les stratégies générées par SRP de l’objet de stratégie de groupe sont appliquées et remplacent les stratégies locales générées par SRP. Les stratégies AppLocker ne sont pas appliquées. |
Remarque
Pour plus d’informations sur les éditions et versions du système d’exploitation Windows prises en charge, consultez la rubrique Configuration requise pour utiliser AppLocker.
Tester et valider les stratégies de restriction logicielle et AppLocker déployées dans le même environnement
Les stratégies de restriction logicielle et AppLocker fonctionnent différemment, c’est pourquoi elles ne doivent pas être implémentées dans le même objet de stratégie de groupe. Cela permet de simplifier le test du résultat de la stratégie, ce qui est essentiel pour un contrôle réussi de l’utilisation des applications dans l’organisation. La configuration d’un système de distribution de stratégie et de test peut aider à comprendre le résultat d’une stratégie. Les effets des stratégies générées par SRP et AppLocker doivent être testés séparément et en utilisant différents outils.
Étape 1 : Tester l’effet des stratégies de restriction logicielle
Vous pouvez utiliser la Console de gestion des stratégies de groupe (GPMC) ou le composant logiciel enfichable Jeu de stratégie résultant (RSoP) pour déterminer l’effet de l’application de stratégies de restriction logicielle à l’aide d’objets de stratégie de groupe.
Étape 2 : Tester l’effet des stratégies AppLocker
Vous pouvez tester les stratégies AppLocker à l’aide des applets de commande Windows PowerShell. Pour plus d’informations sur l’examen du résultat d’une stratégie, voir :
Tester une stratégie AppLocker à l’aide de Test-AppLockerPolicy
Surveiller l’utilisation des applications à l’aide d’AppLocker
Une autre méthode à utiliser lors de la détermination du résultat d’une stratégie consiste à affecter la valeur Audit uniquement au mode d’application. Lorsque la stratégie est déployée, les événements sont écrits dans les journaux AppLocker comme si la stratégie était appliquée. Pour plus d’informations sur l’utilisation du mode Audit uniquement, voir :
Comprendre les paramètres d’application AppLocker
Configurer une stratégie AppLocker pour audit uniquement